Solutions d’achats électroniques : Sommaire de l’évaluation des facteurs relatifs à la vie privée (Modifiée durant l’année financière 2021 à 2022)
Des modifications ont été apportées à l’évaluation des facteurs relatifs à la vie privée durant l’année financière 2021 à 2022. Ces modifications sont décrites dans la Section 1, sous Modification.
Sur cette page
- Section 1: Aperçu de l’évaluation des facteurs relatifs à la vie privée
- Section 2: Catégorisation et identification des risques soulevés dans l’évaluation des facteurs relatifs à la vie privée
Section 1: Aperçu de l’évaluation des facteurs relatifs à la vie privée
Dans cette section
- Institution gouvernementale
- Dirigeant de l’institution ou délégué de l’article 10 de la Loi sur la protection des renseignements personnels
- Haut fonctionnaire ou dirigeant du nouveau ou modifié programme ou activité
- Description et nom du programme ou activité de l’institution gouvernementale
- Autorité légale du programme ou de l’activité
- Fichiers de renseignements personnels
- Sommaire du projet, de l’initiative ou du changement
Institution gouvernementale
Services publics et Approvisionnement Canada (SPAC), Direction générale des approvisionnements (DGA).
Dirigeant de l’institution ou délégué de l’article 10 de la Loi sur la protection des renseignements personnels
Bill Matthews, Sous-ministre.
Haut fonctionnaire ou dirigeant du nouveau ou modifié programme ou activité
Arianne Reza, Sous-ministre adjointe, Direction générale des approvisionnements.
Description et nom du programme ou activité de l’institution gouvernementale
Le Programme des approvisionnements exécute sa mission et fournit ses services grâce aux sous-programmes suivants :
- services d’approvisionnement généraux
- services d’approvisionnement sur mesure
- intendance de l’approvisionnement
- innovation et appui liés à l’approvisionnement
Autorité légale du programme ou de l’activité
Loi sur le ministère des Travaux publics et des Services gouvernementaux, alinéas 6 (a), 6 (b), 7 (1) (c), 18 (1) (2) (3), et 21 (1) (2) (3). Avec ses modifications successives.
Fichiers de renseignements personnels
Aucune modification n’est requise pour les fichiers de renseignements personnels existants suivants.
Sommaire du projet, de l’initiative ou du changement
Services publics et Approvisionnement Canada a attribué un contrat à Infosys Public Services pour la mise en œuvre et la gestion des solutions d’achats électroniques basées sur des systèmes infonuagiques publics utilisant le modèle logiciel-service (SaaS). Le contrat est d’une durée de 5 ans, avec options de prolongation d’au plus 7 ans. La solution d’achats électroniques (SAE) fournie par Infosys (IPS) et ses partenaires, Ernst and Young et SAP Inc. est une pierre angulaire de la modernisation de l’approvisionnement. La solution est un logiciel-service SaaS bilingue (en anglais et en français) à l’échelle du gouvernement du Canada (GC), qui combine SAP Ariba, le plus grand réseau de commerce interentreprises au monde, et SAP Fieldglass, une plateforme de gestion des ressources externes qui aide les organisations à transformer leur façon de gérer les talents sur plusieurs canaux. Les renseignements relatifs à ces services résideront dans un nuage public en dehors du Canada, dans l’infrastructure du fournisseur de services d’infonuagique. Une exemption à la Directive sur les services et le numérique du Conseil du Trésor (CT) a été accordée par le dirigeant principal de l’information du Secrétariat du Conseil du trésor (SCT). La SAE fournira des outils électroniques et des applications modernes et novatrices pour toutes les facettes du processus d’approvisionnement, notamment la sélection des fournisseurs par voie électronique, la gestion du cycle de passation des marchés, l’analyse des dépenses, la gestion des relations avec les fournisseurs et les achats en direct par l’intermédiaire de catalogues. Elle fournit également 1 portail pour tous les besoins en matière d’approvisionnement, facilite les interactions des fournisseurs avec le GC et assure une plus grande accessibilité aux clients du secteur public pour acquérir des biens et services au meilleur rapport qualité-prix possible.
La SAE sera mise en place progressivement. Le déploiement commencera à SPAC ; en cas de succès, la prochaine phase serait un déploiement à l’échelle du GC, sous réserve de l’approbation du CT. La phase finale donnera accès à certaines de nos fonctionnalités aux provinces et territoires.
Modification
La Politique d’approvisionnement social de SPAC, entrée en vigueur le 3 mai 2021, établie les politiques régissant la collecte des renseignements personnels relatifs aux programmes d’approvisionnement social. SPAC a modifié l’évaluation des facteurs relatifs à la vie privée (ÉFVP) de la solution d’achats électroniques (SAE) pour qu’il puisse recueillir, protéger, utiliser, communiquer, conserver et éliminer des renseignements personnels dans le cadre de l’administration de la Politique d’approvisionnement social, conformément aux obligations du gouvernement du Canada en matière de protection de la vie privée. L’ÉFVP initiale de la SAE a été réalisée en 2020.
Cette modification de l’ÉFVP de la SAE permet de recueillir des renseignements personnels dans le but d’administrer les politiques et programmes d’approvisionnement social. Ces données peuvent par ailleurs servir à l’analyse de données et à l’établissement de rapports statistiques afin de créer des bases de référence de la représentation de différents groupes dans le processus d’approvisionnement public et de cibler les fournisseurs sous-représentés.
Les renseignements personnels requis pour les programmes d’approvisionnement social peuvent être recueillis au moyen de la SAE et des méthodes de prise de contact associées à l’approvisionnement (par exemple, demandes de renseignements, lettres d’intérêt, journées de l’industrie, etc.), à l’étape d’évaluation ou de négociation et par la communication d’informations durant le processus d’approvisionnement (par exemple, l’étape administrative).
La modification de l’ÉFVP de la SAE vise la collecte des renseignements personnels suivants :
- renseignement sur le genre : homme, femme ou autre
- origines raciales ou culturelles : Arabe, Noir, Chinois, Philippin, Japonais, Coréen, Latino Américain, Asiatique du Sud Est, Sud Asiatique, Asiatique occidental et autre
- état de personne handicapée
- appartenance à la collectivité lesbienne, gaie, bisexuelle, transgenre, queer, 2 esprits et autres
- statut d’Autochtone : Première Nation, Métis ou Inuit
Section 2 : Catégorisation et identification des risques soulevés dans l’évaluation des facteurs relatifs à la vie privée
Dans cette section
- Type de programme ou activité
- Contexte et types de renseignements personnels impliqués
- Partenaires ou partenaires du secteur privé impliqués dans le programme ou l’activité
- Durée du programme ou de l’activité
- Population visée par le programme
- Technologie et vie privée
- Transmission des renseignements personnels
- Impact des risques pour l’institution
- Impact des risques pour l’individu ou l’employé
La section suivante présente les risques identifiés dans l’ÉFVP pour le nouveau ou modifié programme. Une échelle de risque a été incluse pour chaque section de risques. L’échelle de risque est présentée dans l’ordre ascendant :
- le premier niveau représente le potentiel de risque le plus bas
- le quatrième niveau représente le potentiel de risque le plus haut
Référez-vous à l’Annexe C de la Directive sur l’évaluation des facteurs relatifs à la vie privée du Secrétariat du Conseil du trésor.
Type de programme ou activité
Échelle de risque : 2
Les renseignements personnels sont utilisés pour la prise de décisions ayant une incidence directe sur la personne (par exemple, détermination de l’admissibilité aux programmes, notamment l’authentification pour l’accès aux programmes/services, administration des paiements liés aux programmes, des trop-payés ou soutien aux clients, délivrances ou refus de permis/licences, traitement des appels, etc.).
Contexte et types de renseignements personnels impliqués
Échelle de risque : 1
Échelle de risque : 2
Échelle de risque : 3
Les renseignements personnels recueillis auprès des fournisseurs, des entrepreneurs, des références, des autres ministères et des responsables de l’approvisionnement du gouvernement dans le cadre de l’acquisition de biens et de services par le gouvernement du Canada.
Partenaires ou partenaires du secteur privé impliqués dans le programme ou l’activité
Échelle de risque : 1
Échelle de risque : 2
Échelle de risque : 4
SPAC fournit des services centraux et communs d’approvisionnement aux autres ministères. Les fournisseurs devront s’inscrire au réseau SAP Ariba, une entreprise du secteur privé spécialisée dans la gestion des appels d’offres en ligne. Il existe une participation supplémentaire de certains ministères tels que l’Agence du revenu du Canada pour établir et vérifier le numéro d’entreprise, et Affaires autochtones et du Nord Canada en ce qui concerne le Programme de marchés réservés aux entreprises autochtones. Tous les autres ministères qui reçoivent des données personnelles divulguées par SPAC protègent ces données conformément à la Loi sur la protection des renseignements personnels et aux exigences du SCT, indiquées dans les ententes de services ministérielles.
Remarque
Puisque les marchés publics sont destinés à un « objectif public » du gouvernement du Canada, seules les lois du Canada s’appliquent au traitement et à la protection des renseignements personnels.
Durée du programme ou de l’activité
Échelle de risque : 3
Programme à long terme. L’approvisionnement est un programme fédéral permanent, sans date de fin prévue.
Population visée par le programme
Échelle de risque : 1
Échelle de risque : 3
La SAE recueillera les renseignements personnels des fournisseurs aux fins d’achat et de facturation et surveillera l’activité des utilisateurs du système, qu’ils fassent partie du GC ou non, afin de contribuer à garantir la disponibilité, la sécurité et l’intégrité du système.
Technologie et vie privée
Une réponse par « oui » à l’un des énoncés ci-dessous peut indiquer un risqué potentiel concernant la vie privée qui devra être évalué et adressé.
Questions
- Est-ce que le nouveau/modifié programme ou activité implique la mise en place d’un nouveau système électronique, logiciel ou application incluant un logiciel de collaboration (ou logiciel de gestion de groupe) pour supporter le programme ou l’activité en termes de création, récolte ou manipulation d’information personnelle ? Oui
- Est-ce que le nouveau/modifié programme ou activité nécessite des modifications au système TI mis en place ? Oui
- Est-ce que le nouveau/modifié programme ou activité implique la mise en place d’une ou plusieurs des technologies ci-dessous : non disponible
- méthode d’identification améliorée ? Non
- utilisation de la surveillance ? Non
- utilisation d’analyse automatisée des informations personnelles, de croisement d’information personnelle et de techniques de découverte du savoir ? Non
Les applications existantes fonctionneront en tandem avec la SAE. Plutôt que de mettre hors service les applications existantes à la fin de l’année, le plan prévoit leur mise hors service progressive en réduisant l’accès et en les exploitant de manière limitée. Les systèmes ministériels de gestion des finances et du matériel (SMGFM) de SPAC pourrait faire l’objet d’ajouts d’« intergiciel » pour lui permettre de communiquer avec le réseau Ariba, et Achatsetventes pourrait également nécessiter quelques modifications.
Transmission des renseignements personnels
Échelle de risque : 2
Échelle de risque : 3
Échelle de risque : 4
Les renseignements personnels au repos et en transit sont chiffrés selon les normes de SPAC (ITSP.40.111 « Algorithmes cryptographiques pour l’information non classifiée, Protégée A et Protégée B »). La mise en place d’un processus d’approvisionnement à l’échelle du GC exige la transmission de données personnelles aux ministères du GC, à des tiers et à un fournisseur tiers engagé pour fournir des services électroniques connexes. La transmission des renseignements se fera dans le cadre d’un outil sécurisé relié au réseau du GC, y compris les SMGFM. Le système d’achats électroniques est conçu pour être une solution entièrement électronique. Les utilisateurs et les administrateurs du GC auront pour instruction de ne pas faire de copies papier des dossiers de la SAE, de ne pas utiliser de supports portables non chiffrés et de ne pas transmettre de données sur des réseaux non chiffrés.
Impact des risques pour l’institution
Échelle de risque : 1
Échelle de risque : 2
Échelle de risque : 3
Dans le cas peu probable d’une atteinte à la vie privée, il peut en résulter un risque éventuel pour le fournisseur, l’employé ou le tiers. IPS a élaboré et mis en œuvre un protocole solide de lutte contre les atteintes à la vie privée afin d’atténuer les effets négatifs éventuels d’une telle atteinte.
Impact des risques pour l’individu ou l’employé
Échelle de risque : 1
Échelle de risque : 2
Échelle de risque : 3
Échelle de risque : 4
En cas d’atteinte à la vie privée, qu’elle soit substantielle ou non, SPAC et les ministères clients pourraient en subir les conséquences.
- Date de modification :